15th Ch5 Is Control Đã Nén

Romney, M.B et.all (2021).
Accounting Information
Systems 15th: Chapters 8, 11, 12, 13
AIS
Kiểm soát hệ thống thông tin kế toán

Accounting Information Systems Controls
Nguyễn Bích Liên
Tổng quan AIS Nguyễn Bích Liên 1

Mục tiêu
1. Hiểu các thủ tục kiểm soát cần thiết để đảm bảo an
toàn cho thông tin
2. Hiểu các thủ tục kiểm soát cần thiết để đảm bảo bảo
mật thông tin nhạy cảm của DN
3. Bảo vệ tính riêng tư thông tin cá nhân của các bên có
lợi ích liên quan
4. Hiểu các thủ tục kiểm soát cần thiết để đảm bảo tính
toàn vẹn của thông tin
5. Các thủ tục kiểm soát cần thiết để đảm bảo tính sẵn
sàng, liên tục của hệ thống
AIS controls Nguyễn Bích Liên 2
Nội dung
1. Kiểm soát an toàn thông tin

2. Kiểm soát bảo mật thông tin
3. Kiểm soát quyền riêng tư
4. Kiểm soát tính toàn vẹn
5. Kiểm soát tính khả dụng của hệ thống
AIS Controls Nguyễn Bích Liên 3

Thuật ngữ
STT Thuật ngữ Trang Diễn giải
1 Access control matrix 237 Ma trận kiểm soát truy cập
2 Authentication 235 Xác thực
3 Backup 294 Sao lưu
4 Batch totals 289 Tổng lô
5 Business continuity plan 297 Kế hoạch tiếp tục kinh doanh
6 Change control and change 246 Kiểm soát thay đổi và quản lý việc thay đổi
management
7 Check digit 288 Số kiểm tra
8 Check digit verification 288 Xác nhận số kiểm tra
9 Checksum 291 Kỹ thuật kiểm tra độ chính xác của dữ liệu
truyền tải thông qua thuật toán băm của tập tin
10 Closed-loop verification 289 Kiểm tra vòng lặp kín

Thuật ngữ
Thuật ngữ Trang Diễn giải
11 Compatibility test 237 Kiểm tra sự tương thích giữa các kiểm soát xác
nhận và ma trận kiểm soát truy cập
12 Completeness check (or test) 288 Kiểm tra tính đầy đủ
13 Concurrent update controls 290 Kiểm tra cập nhật đồng thời
14 Cookies 267 Cookies
15 Cross-footing balance test Kiểm tra chéo số dư
16 Data loss prevention (DLP) 263 Phần mềm ngăn ngừa việc mất dữ liệu
17 Data masking 265 Chương trình làm thay đổi giá trị thực của dữ liệu
18 Defense-in-depth 231 Nguyên tắc an toàn phòng thủ sâu
19 Differential backup 296 Sao lưu lũy tiến
20 Digital watermark 263 Mã đánh dấu

Thuật ngữ
Thuật ngữ Trang Diễn giải
21 Disaster recovery plan (DRP) 296 Kế hoạch phục hồi sau thảm họa
22 Encryption 269 Mã hóa
23 Fault tolerance 293 Dung sai/ sức chịu đựng lỗi hệ thống
24 Field check 288 Kiểm tra kiểu dữ liệu
25 Financial total 289 Tổng tài chính
26 Hash total 289 Tổng hash
27 Incremental backup 295 Sao lưu từng phần
28 Information rights management 262 Phần mềm quản trị quyền thông tin
(IRM)
29 Intrusion detection system (IDS) 248 Hệ thống phát hiện thâm nhập
30 Limit check 288 Kiểm tra giới hạn
AIS Ontrols Nguyễn Bích Liên 6

Thuật ngữ
31 Log analysis 247 Phân tích nhật ký
32 Multifactor authentication 235
33 Multimodal authentication 235
34 Parity bit 291 Một bit được thêm vào dữ liệu truyền tải
nhằm kiểm tra sự chính xác
35 Parity checking 291 Kiểm soát sự chính xác thông tin qua kỹ
thuật parity
36 Penetration test 248 Kiểm tra sự xâm nhập/kiểm tra bảo mật
37 Prompting 289 Nhắc nhập liệu
38 Range check 288 Kiểm tra giới hạn
39 Reasonableness test 288 Kiểm tra hợp lý
40 Record count 289 Đếm mẫu tin

Thuật ngữ

41 Recovery point objective 295 Mốc phục hồi dữ liệu
42 Recovery time objective 295 Mốc thời gian phục hồi
43 Sequence check 289 Kiểm tra tuần tự
44 Sign check 288 Kiểm tra dấu
45 Size check 288 Kiểm tra dung lượng
46 Time-based model of security 231 Nguyên tắc an toàn dựa trên thời gian
47 Turnaround document 288 Chứng từ luân chuyển
48 Validity check 288 Kiểm tra hợp lệ
49 Zero-balance test 290 Kiểm tra số dư bằng 0

Giới thiệu các nguy cơ với AIS

❖Thảm họa thiên tai và chính trị

❖Các sai sót phần mềm và sử dụng thiết bị
❖Các sơ sót
❖Các gian lận

❖Gian lận máy tính
• Gian lận đầu vào (input): Làm sai lệch thông tin đầu vào của máy
tính
• Gian lận sử dụng thiết bị xử lý : bao gồm việc sử dụng hệ thống
trái phép (trộm cắp thời gian và dịch vụ của máy tính)
• Gian lận phần mềm: giả mạo phần mềm của công ty, sao chép
phần mềm bất hợp pháp, sử dụng phần mềm trái phép và phát triển
phần mềm để thực hiện hoạt động trái phép. Gian lận này đòi hỏi
kiến thức lập trình chuyên biệt.

❖Gian lận máy tính
• Gian lận dữ liệu. Sử dụng, sao chép, tìm kiếm hoặc làm hư hại
dữ liệu của đơn vị. Nguyên nhân lớn nhất của vi phạm dữ liệu là
sơ suất của nhân viên
• Gian lận đầu ra
o Có thể có các thiết bị nhận diện được các tín hiệu phát ra từ các thiết bị hiển
thị đầu ra
o Dùng máy tính làm giả kết quả đầu ra giống như thật. (VD scan 1 SEC, sử
dụng thiết bị nhận diện tín hiệu màn hình để xử lý SEC, sửa tên người nhận,
số tiền và in SEC giả mạo này)

Kiểm soát hệ thống thông tin
AICPA (the American

Mục tiêu kiểm soát Institute of Certified Public
Accountants)
The Trust &
Đảm bảo hệ thống Services CICA (the Canadian Institute
thông tin tin cậy of Chartered Accountants)
Framework
Hướng dẫn kiểm toán viên:

• Đánh giá độ tin cậy của hệ thống thông tin một tổ
chức
• Thực hiện các dịch vụ chứng thực liên quan đến an
ninh mạng.

Kiểm soát hệ thống thông tin
Khuôn mẫu về niềm tin dịch vụ - the Trust services framework
Hệ thống thông tin đáng tin cậy
Bảo vệ Tính toàn

Tính Bảo mật Tính khả
quyền vẹn
Confidentia- dụng
riêng tư Processing
lity Availability
Privacy integrity
An toàn thông tin Security

Phần 1- Kiểm soát an toàn thông tin (ANTT)
Mục lục
1.1. Ba khái niệm cơ bản ANTT (Three fundamental
information security concept)
1.2. Bảo vệ nguồn lực thông tin
1.3. Phát hiện tấn công (Detecting Attacks)
1.4. Đáp trả tấn công (response the attack)
1.5. Giám sát và sửa đổi các giải pháp bảo mật

1.1. Ba khái niệm cơ bản ANTT
❖An toàn là vấn đề quản lý, không phải chỉ là vấn đề kỹ thuật
➢ Ngoài các công cụ kỹ thuật thì cần vai trò các nhóm
An toàn
chức năng trong chu trình ANTT
(Secure): Kiểm
soát truy cập • BQL cấp cao (Senior management) tham gia và hỗ trợ toàn bộ chu
(cả vật lý và trình ANTT, đảm bảo cho sự thành công với ANTT
logic) vào hệ • Nhóm công nghệ thông tin (The information technology function): Cài
thống và dữ đặt và duy trì giải pháp công nghệ
liệu của hệ • Nhóm rủi ro và tuân thủ (The risk and compliance group). Thiết kế
thống chính sách ANTT và đảm bảo tuân thủ
• Kiểm toán nội bộ (internal audit): Định kỳ thực hiện đánh giá độc lập
sụ hữu hiêu và hiệu quả của chương trình ANTT

➢ Chu kỳ An toàn thông 1.Đánh giá

nguy cơ và
tin (Secure life cycle) lựa chọn
phản ứng với
rủi ro
Bước 1.
4. Giám sát và
o Đánh giá nguy cơ: Nhân đánh giá sự 2. Phát triển và
viên an toàn thông tin hữu hiệu truyền thông
o BQL cấp cao: lựa chọn chính sách
phản ứng RR
3. Đạt được
& triển khai
giải pháp

tin (Secure life cycle) nguy cơ và
lựa chọn
phản ứng với
Bước 2 rủi ro
• Phát triển chính sách an toàn
thông tin (ANTT) : 4. Giám sát và
đánh giá sự 2. Phát triển và
o Quản lý cấp cao tham gia truyền thông
hữu hiệu
o Nhóm rủi ro và tuân thủ chịu trách chính sách
nhiệm chính
• Truyền thông chính sách ANTT:
o BQL cấp cao hỗ trợ 3. Đạt được
o Nhóm rủi ro và tuân thủ chịu trách & triển khai
nhiệm chính giải pháp

lựa chọn
phản ứng với
Bước 3 rủi ro
• Quản lý cấp cao phải cho phép
4. Giám sát và
đầu tư các nguồn lực cần thiết đánh giá sự 2. Phát triển và
truyền thông
và hỗ trợ quá trình triển khai hữu hiệu
chính sách
• Nhóm công nghệ TT và nhóm
rủi ro &tuân thủ chịu trách
3. Đạt được
nhiệm triển khai & triển khai
giải pháp

lựa chọn
phản ứng với
Bước 4 rủi ro
• Quản lý cấp cao (1) Xác định lại
4. Giám sát và
khẩu vị rủi ro; (2) có thể thực hiện đánh giá sự 2. Phát triển và
hữu hiệu truyền thông
thay đổi chính sách an toàn; (3) chính sách
xem xét các giải pháp mới
• Kiểm toán nội bộ: Đánh giá độc lập
3. Đạt được
sự hữu hiệu và hiệu quả chương & triển khai
trình ANTT giải pháp

❖ Con người là nhân tố quan trọng
• Con người là tài sản quan trọng và cũng có thể là mắt xích yếu nhất
trong ANTT
• Để con người trở thành yếu tố tích cực trong ANTT
o Tạo văn hóa nhận thức an toàn:
✓ Nhân viên tuân thủ chính sách an toàn
✓ BQL truyền thông và là tấm gương tuân thủ chính sách an toàn ;
o Huấn luyện liên tục nhận thức ANTT Chương trình

✓ Hiểu chính sách ANTT huấn luyện sẽ
hiệu quả chỉ khi
✓ Hiểu Các kiểu tấn công giả mạo, đánh lừa người sử dụng nếu BQL cấp cao
✓ Tầm quan trọng của đo lường an toàn thông tin luôn hỗ trợ
✓ Tuân thủ các thực hành an toàn máy tính

❖ Mô hình an toàn thông tin dựa trên thời gian (the time-
based model of information security)
Mô hình an toàn dựa trên thời gian (Time-base model of security)
P > D + R
Thời gian để vượt qua Thời gian để Thời gian để phản
các kiểm soát bảo vệ phát hiện một ứng lại với cuộc tấn
của DN cuộc tấn công công và thực hiện
kiểm soát sửa sai
Gồm kết hợp:

• Kiểm soát ngăn ngừa
Xem bảng 11-1, P 366 • Kiểm soát phát hiện
• Kiểm soát sửa chữa
❖ Mô hình an toàn thông tin dựa trên thời gian (the time-
based model of information security)
➢ Chiến lược Phòng thủ sâu (defense in depth): Đáp ứng mục tiêu
mô hình ANTT dựa trên thời gian
• Triển khai nhiều tầng (multiple layers) kiểm soát để tránh việc
có duy nhất một điểm yếu (vd: tường lửa, mật khẩu, mã bảo
mật, và bảo mật sinh trắc học).
• Sử dụng kết hợp kiểm soát ngăn ngừa, kiểm soát phát hiện, và
kiểm soát sửa chữa.

TABLE 11-1 Preventive, Detective, and Corrective Controls Used to Satisfy
❖ Mô hình an the Time-Based Model of Security
toàn thông
tin dựa trên
thời gian
(the time-
based
model of
information
security)

❖An toàn vật lý: Kiểm soát truy cập vật lý
Nhiều cửa soát xét khi vào building, có nhân

viên bảo vệ hoặc nv tiếp tân, khách được yêu
cầu kí xác nhận và có nv hộ tống
Phòng chứa thiết bị máy

tính phải có khóa , có mã
Các tủ chứa hệ thống dây

điện gắn với thiết bị truyền
thông phải được khóa
Giữ an toàn cho

máy tính xách tay,
thiết bị di động

❖An toàn vật lý: Kiểm soát truy cập vật lý
Trường hợp máy tính xách tay, thiết bị di động (đtdd; thiết bị khác)
• Thông tin quan trọng cần mã hóa
• Khóa vật lý thiết bị với 1 vật thể cố định, chắc chắn
• Cài đặt phần mềm nhận diện vị trí của thiết bị truy cập tới mạng doanh
nghiệp -> Có thể ra lệnh xóa thông tin nếu bị đánh cắp
• Thực hiện kết hợp kiển soát truy cập từ xa (VD sinh trắc học, thẻ nhận
diện..) và kiểm soát truy cập vật lý
• Kiểm soát kết nối qua mạng với máy in (phòng trường hợp thông tin còn
lưu trên ổ cứng của máy in)

❖Qui trình : Kiểm soát truy cập người dùng
System access permission:

(1) Physical system access;
(2) Logical system access
Có được qua authentication
cổng không? controls
Áp dụng cho 4 lớp an toàn:
(1) Mạng (network);
Được (2) Hệ thống hoạt động Platform
làm gì
đây? (operating system);
(3) Database;
(4) (4) Application

➢ Kiểm soát xác thực (authentication controls)

• Xác thực là quá trình xác minh danh tính của cá nhân hoặc thiết
bị đang cố truy cập vào hệ thống, nhằm đảm bảo chỉ những
người dùng hợp pháp mới có thể truy cập vào hệ thống
• 3 cách để xác minh danh tính cá nhân, vdu:
o Sử dụng mật khẩu, mã PIN
o Sử dụng thẻ thông minh hoặc phù hiệu cá nhân
o Sử dụng định danh sinh trắc học

➢ Kiểm soát xác thực (authentication controls)

✓ Xác thực đa yếu tố (multifactor authentication)- sử dụng hai hay
nhiều loại thông tin xác thực trong một kết hợp để đạt được mức
độ an toàn hơn (Vd kết hợp password và sinh trắc học v..v)
✓ Xác thực đa phương thức (multimodal authentication)-Việc sử

dụng nhiều mức độ của cùng loại thông tin xác thực để đạt được
mức độ bảo mật cao hơn. Vd: sử dụng đa phương thức sinh trắc
học như vân tay, khuôn mặt hoặc mống mắt,

➢ Kiểm soát phân quyền (authorization controls)

• Phân quyền là quá trình hạn chế quyền truy cập của người
dùng được xác thực đối với các phần hành cụ thể của hệ
thống và hạn chế những thao tác mà họ được phép thực hiện
❑ Cách thực hiện:

• Tạo ma trận kiểm soát truy cập (access control matrix)
• Kiểm tra tương thích (compatibility test) (tương thích giữa
người được xác thực và nhiệm vụ được qui định trên ma trận
truy cập)

➢ Kiểm soát phân quyền (authoriztion controls)
Câu hỏi: vai trò của

người quản lý BP sử
dụng và quản lý an
toàn (security
administration) thế
nào trong việc phân
quyền và kiểm soát
phân quyền ?

• Phân chia trách nhiệm kế toán ?

• Phân chia trách nhiệm hệ thống thông tin ?

Phân chia trách nhiệm trong hệ thống máy tính(Segregation of Systems duties)
Chức
Người ủy Giám
năng
quyền sát
khác

• Ủy quyền cho phép nghiệp vụ hoặc hoạt động thực hiện:

Chức năng • Ủy quyền chung để xử lý các nghiệp vụ
ủy quyền,
xét duyệt
• Ủy quyền cụ thể các nghiệp vụ .
(Authorization) • Phê duyệt các khai báo mối quan hệ kinh doanh mới: Khách
hàng mới, nhà cung cấp mới
• Phê duyệt kích hoạt tài khoản người dùng mới
• Phê duyệt việc tạo hoặc sửa đổi các chương trình máy tính
• Phê duyệt chương trình trước khi sử dụng chính thức

❖Nhập liệu nghiệp vụ kinh tế phát sinh

Chức năng
nhập liệu ❖Chỉ được nhập sau khi được ủy quyền cho phép
• Nhập liệu mối quan hệ mới (khách hàng, nhà cung cấp, v.v..)
• Nhập liệu tạo người sử dụng mới
• Hủy dữ liệu TK người sử dụng hoặc khách hàng, nhà cung cấp
nếu không còn sử dụng

• Phân tích
Chức năng
lập trình • Lập trình
(programming) o Thiết kế, test chương trình Hệ thống mới
o Sửa chữa hệ thống hiện hành
Chức năng • Cài đặt phần mềm

hoạt động • Đảm bảo hoạt động xử lý dữ liệu (nhập,
(computer
operation) xử lý, tạo thông tin) đúng

Chức năng
• Lưu trữ dữ liệu về mặt vật lý và bảo dưỡng CSDL, tập tin
lưu trữ dữ và chương trình.
liệu (Data
storage)
• Bảo dưỡng các tập tin lưu dự phòng tại nơi lưu trữ (offsite)
• Giữ các thiết bị vật lý có chứa dữ liệu
Chức năng • Ghi nhận nghiệp vụ. Ủy quyền nghiệp vụ để xử lý

sử dụng • Truy cập dữ liệu để xử lý tạo thông tin
(users)

• Quản trị hệ thống (systems Administration). Người quản

Chức năng
quản lý
trị HT (systems administrators) cần đảm bảo tất cả các
(Management) thành phần của HT vận hành tốt và hiệu quả
• Quản trị mạng (network management). Người quản trị
mạng (network manager) đảm bảo mạng nội bộ và các
thiết bị kết nối mạng internet vận hành tốt, phù hợp

• Quản trị an toàn (secure management). Đảm bảo ANTT cho hệ

Chức năng
quản lý
thống và mạng.
(Management)
• Quản lý thay đổi (change management). Đảm bảo các thay đổi
không ảnh hưởng tới tính tin cậy (liability) an toàn (security),
bảo mật (confidentiality), toàn vẹn (integrity) và sẵn sàng/khả
dụng (availability) của hệ thống.

• Kiểm soát dữ liệu (data control).
Chức o Đảm bảo dữ liệu nguồn được xét duyệt đúng
năng o Giám sát luân chuyển Dl này trong hệ thống máy tính
quản lý o Đối chiếu đầu vào, đầu ra
(Management)
o Xử lý sai sót nhập liệu
o Phân phối / truyền thông tin
• Quản trị CSDL (Database administrator): kiểm soát, quản

lý CSDL

❑ Phân chia trách nhiệm/phân quyền nhóm người sử dụng
▪ Thực hiện các vùng chức năng: ủy quyền, ghi chép, bảo vệ TS
▪ Thực hiện truy cập dữ liệu: Ghi chép nghiệp vụ, ủy quyền dữ liệu
cho xử lý; sử dụng kết xuất. Các mức độ truy cập theo từng tập tin:
o Đọc dữ liệu (tập tin nghiệp vụ và tập tin chính)
o Tạo dữ liệu tập tin chính (create)
o Nhập dữ liệu nghiệp vụ
o Cập nhật dữ liệu
o Hủy dữ liệu

❖Giải pháp IT: Kiểm soát phần mềm độc hại (malware) –
ANTIMALWARE CONTROL
• Malware: Viruses, worms, keystroke logging software etc..
• Các thủ tục
o Huấn luyện nhận diện malware
o Cài đặt công cụ/ phần mềm bảo vệ để chống malware
o Cập nhật thường xuyên phần mềm/công cụ bảo vệ
o Kiểm tra thường xuyên phát hiện malware mới
o Lọc để khóa các thông tin nhận từ các nguồn có nguy cơ độc hại
o Kiểm soát việc nhân viên tự động cài đặt các phần mềm hay
chương trình chưa được duyệt

1.2. Bảo vệ nguồn lực thông tin FIGURE 11-6
Example
❖Giải pháp IT: Kiểm soát truy cập Organization
al Network
mạng (NETWORK ACCESS CONTROLs) Architecture
• Sử dụng hệ thống các thiết bị bảo vệ an
toàn và ngăn ngừa xâm nhập: border
router; Firewall; demilitarized Zone (DMZ)
• Đảm bảo an toàn kết nối từ xa/ bên ngoài
hệ thống qua thiết bị kết nối (modem) và
mạng không dây (wireless)
• Kiểm soát truyền tải thông tin trên mạng
truyền thông: cắt các mẩu thông tin, nhận
và truy cập mẩu thông tin truyền tải;

❖Giải pháp IT: Kiểm soát phần mềm và thiết bị (device and
software hardening controls)
• Kiểm soát các thiết bị tại điểm cuối (endpoint) tại vi trí làm việc; Máy
chủ , máy in, thiết bị khác
• Quản lý tài khoản người sử dụng
o Người quản lý hệ thống: có quyền truy cập không giới hạn tới hệ
thống.
– Cài đặt phần mềm
– Chỉnh sửa các thiết lập cấu hình hệ thống
o Tài khoản người quản lý HT là mục tiêu của tấn công và cũng là
lạm quyền quyền lý -> Giải pháp, (1) tạo 2 tài khoản, 1 TK là quyền
quản lý, 1 TK là thông thường với những giới hạn quyền; (1)
Thường xuyên đổi password của TK quyền quản lý
❖Giải pháp IT: Mã hóa dữ liệu (Encryption)
• Mã hóa dùng để bảo vệ các thông tin nhạy cảm

khỏi các truy cập bất hợp pháp

1.3. Phát hiện cuộc tấn công (Detecting Attacks)
❖Phân tích nhật ký truy cập (log analysis)

• Phân tích nhật ký truy cập: là qui trình kiểm tra nhật ký để xác định
bằng chứng về các cuộc tấn công có thể xảy ra
• Phân tích những cố gắng đăng nhập nhưng không thành công -> Tìm
nguyên nhân
• Phân tích thay đổi trong nhật ký truy cập
• Thực hiện phân tích thường xuyên

1.3. Phát hiện cuộc tấn công (Detecting Attacks)
❖Hệ thống phát hiện xâm nhập (Istruction

Detection Systems)
• IDS là một bộ gồm các cảm biến (sensors) và đơn vị giám sát trung
tâm (central mornitoring unit). Nó tạo nhật ký của tất cả lưu lượng
mạng đã được phép vượt tường lửa, và phân tích các bản ghi đó để
tìm dấu hiệu của cố gắng hoặc thành công xâm nhập
• Một IDS có thể được cài đặt trên một thiết bị cụ thể để giám sát các
nỗ lực trái phép nhằm thay đổi cấu hình của thiết bị đó, và cảnh báo
khi phát hiện một kiểu lưu lượng truy cập mạng đáng ngờ

1.4. Đáp trả cuộc tấn công (Responding to Attacks)
❖Thiết lập đội ứng phó sự cố máy tính

(computer incident response team- CIRT)
• CIRT chịu trách nhiệm xử lý các sự cố bảo mật nghiêm trọng.
• Thành phần: Chuyên gia kỹ thuật và ban quản lý cấp cao DN
• Qui trình phản ứng sự cố gồm
✓ Ghi nhận có vấn đề tồn tại.
✓ Ngăn chặn vấn đề.
✓ Phục hồi.
✓ Theo dõi.

1.4. Đáp trả cuộc tấn công (Responding to Attacks)
❖ VAI TRÒ GIÁM ĐỐC AN TOÀN THÔNG TIN CHIEF

INFORMATION SECURITY OFFICER –CISO)
• CISO phải có trách nhiệm đảm bảo rằng các đánh giá về điểm yếu
tiềm ẩn (vulnerabilities) và rủi ro được thực hiện thường xuyên và
các cuộc kiểm toán an toàn TT được thực hiện định kỳ.
• CISO
✓ làm việc và báo cáo cho CIO;
✓ hợp tác chặt chẽ với người chịu trách nhiệm về an toàn vật lý

❖Thử nghiệm thâm nhập (Penetration test)
Thử nghiệm thâm nhập là một nỗ lực được ủy quyền, được thực
hiện bởi nhóm kiểm toán nội bộ hoặc công ty tư vấn bảo mật bên
ngoài để đột nhập vào hệ thống thông tin của tổ chức. Các nhóm
này cố gắng làm mọi cách có thể để xâm phạm hệ thống của
công ty.

❖Kiểm soát thay đổi và quản lý việc thay đổi
▪ Là qui trình ▪ Kiểm soát được thiết kế tốt gồm những đặc tính sau:
nhằm đảm o Lập hồ sơ tất cả những yêu cầu thay đổi, bản chất, lý do thay đổi, ngày yêu
bảo rằng các cầu thay đổi, và kết quả của yêu cầu thay đổi
sửa đổi với o Phê duyệt Tất cả những yêu cầu thay đổi bởi cấp quản lý phù hợp
phần cứng, o Kiểm tra thử tất cả những thay đổi trên một hệ thống riêng biệt
phần mềm o Xây dựng, thực hiện và giám sát đầy đủ các hoạt động KS chuyển đổi
hoặc các qui o Cập nhật tất cả tài liệu để phản ánh những thay đổi mới được triển khai
trình không o Có qui trình đặc biệt để xem xét, phê duyệt và tài liệu hóa một cách kịp thời
làm giảm độ cho những thay đổi khẩn cấp
o Phát triển và lập hồ sơ để tạo điều kiện hoàn nguyên (reverting) về cấu
tin cậy của hệ
hình trước đó nếu việc thay đổi tạo ra những sự cố không mong đợi.
thống
o Giám sát và đánh giá cẩn trọng quyền của người dùng trong suốt quá trình
thay đổi nhằm đảm bảo duy trì việc phân chia trách nhiệm một cách phù hợp
Phần 2- Kiểm soát bảo mật thông tin & bảo vệ
quyền riêng tư
Mục lục
2.1. Bảo vệ tính bảo mật (confidentiality) tài sản
trí tuệ và quyền riêng tư (private)
2.2. Luật và những nguyên tắcđược chấp nhận
chung về quyền riêng tư
2.3. Môt số công nghệ bảo mật và quyền riêng tư

Phần 2- Kiểm soát bảo mật thông tin & bảo vệ
quyền riêng tư
❖Mục tiêu:
Bảo vệ các • Bảo mật thông tin (confidentiality): Bảo vệ tính bảo
mật của tài sản trí tuệ của một tổ chức
thông tin nhạy
cảm khỏi những • Bảo vệ quyền riêng tư (privacy) của thông tin cá
nhân mà nó thu thập từ khách hàng, nhân viên,
truy cập và công
nhà cung cấp và bên đối tác kinh doanh
bố không được
ủy quyền.

2.1. Bảo vệ tính bảo mật tài sản trí tuệ và
quyền riêng tư
• Tài sản trí tuệ/ sở hữu trí tuệ (Intellectual Property) là
những sản phẩm sáng tạo từ con người.
❖ Ở DN, nó thường là: Tài sản trí tuệ này

✓ Kế hoạch chiến lược, thường rất quan trọng
✓ Bí mật thương mại,
đối với lợi thế cạnh
✓ Thông tin chi phí
tranh và thành công lâu
✓ Hồ sơ pháp lý
dài của tổ chức
✓ Cải tiến quy trình.

quyền riêng tư
FIGURE 12-1 Components of
Protecting Confidentiality and Privacy

quyền riêng tư
❖Xác định và phân loại thông
tin cần được bảo mật
• Là bước đầu tiên trong qui trình bảo vệ tính

bảo mật và quyền riêng tư
• Nội dung;
✓ Xác định nơi lưu trữ và người được quyền truy cập
✓ Phân loại thông tin cần bảo vệ theo giá trị của nó với
tổ chức

quyền riêng tư
❖Mã hóa thông tin
▪ Mã hóa là qui trình chuyển nội dung thông
thường (plaintext) thành nội dung không
thể đọc được bằng mắt thường
(ciphertext)
▪ Đoc nội dung mã hóa: cần qui trình giải
mã ▪ Mã hóa không phải “thuốc
▪ Mã hóa là công cụ quan trong và hữu hiệu chữa bách bệnh”
để đảm bảo tính bảo mật o Những thông tin xử lý đường
tắt “process short cut” không
o Đối với thông tin được chuyển giao trên
được lưu trữ dưới dạng số
Internet: Mã hóa là cách duy nhất
thì không thể mã hóa
o Đối với thông tin được lưu trữ trên web hoặc o Mã hóa cần phải kết hợp với
điện toán đám mây công cộng (public cloud): kiểm soát xác thực, và kiểm
mã hóa là một phần của việc phòng thủ sâu soát truy cập vật lý
(defense-in-depth).

quyền riêng tư
❖Kiểm soát truy cập
▪ Kiểm soát xác thực và phân quyền (kiểm soát truy cập của
người dùng – kiểm soát an toàn )
▪ Phần mềm quản trị quyền thông tin (IRM)
▪ Phần mềm ngăn chặn mất dữ liệu (DLP)
▪ Chữ ký ảnh điện tử (digital watermark)
▪ Hạn chế tiếp cận với thiết bị vật lý máy in, máy photo, máy
fax, sử dụng thiết bị bảo vệ màn hình cho laptop (screen
protection devices)
▪ Những qui định đối với môi trường ảo hóa (virtualization) và
điện toán đám mây (cloud computing)

quyền riêng tư
❖Huấn luyện nhân viên
▪ Nhân viên cần biết thông tin nào được phép chia sẻ với bên
ngoài, thông tin nào cần được bảo vệ
▪ Nhân viên cần được hướng dẫn cách bảo vệ dữ liệu bí mật:
o Cách sử dụng phần mềm mã hóa
o Luôn thoát ra khỏi các ứng dụng sau khi sử dụng
o Sử dụng màn hình được bảo vệ bằng mật khẩu (password-protected
screen)
o Biết cách mã hóa các báo cáo thông tin quan trọng
o Biết cách sử dụng đúng email, tin nhắn chat, blogs, cách xóa thông
tin

2.2. Luật và những nguyên tắcđược chấp
nhận chung về quyền riêng tư
• “Nguyên tắc Quyền riêng tư được Chấp nhận Chung- Generally
Accepted Privacy Principles- GAPP”: AICPA & CICA cùng phát triển một
khuôn mẫu
❖GAPP gồm 10 thực hành tốt nhất được công nhận quốc tế để bảo vệ
quyền riêng tư
▪ 1. Management Quản lý .
✓ Các tổ chức cần thiết lập một bộ quy trình và chính sách để bảo vệ
quyền riêng tư của thông tin cá nhân
✓ Chỉ định vị trí nhân viên chịu trách nhiệm bảo mật dữ liệu “a Data Privacy
Officer.”

quyền riêng tư
▪ 2. Notice. Thông báo. Cần cung cấp thông báo về các chính sách
và thực hành trước khi thu thập thông tin cá nhân:
✓ Thông tin nào đang được thu thập
✓ Lý do thu thập thông tin
✓ Cách thông tin sẽ được sử dụng.
▪ 3. Choice and consent. Lựa chọn và đồng ý
Các tổ chức nên giải thích các lựa chọn có sẵn cho các cá nhân và nhận được sự
đồng ý của họ trước khi thu thập và sử dụng thông tin cá nhân của họ

quyền riêng tư
▪ 4. Collection. Thu thập.
Một tổ chức chỉ nên thu thập thông tin cần thiết để thực hiện các mục đích được nêu trong
chính sách quyền riêng tư.
▪ 5. Use, retention, and disposal. Sử dụng, lưu giữ và loại bỏ.
✓ Các tổ chức chỉ nên sử dụng thông tin cá nhân của khách hàng theo cách được mô tả
trong chính sách và duy trì thông tin chỉ khi nó cần thiết để thực hiện mục đích kinh doanh
hợp pháp.
✓ Khi không còn cần thì cần loại bỏ đúng nguyên tắc an toàn
✓ Cần chỉ định người chịu trách nhiệm xóa và loại bỏ thông tin

quyền riêng tư
▪ 6. Access.Truy cập. Nên cung cấp cho các cá nhân khả năng truy cập, xem xét và
sửa thông tin cá nhân được lưu trữ về họ.
▪ 7. Disclosure to third parties.Tiết lộ cho bên thứ ba.

✓ Chỉ tiết lộ thông tin cá nhân của khách hàng cho bên thứ ba trong các tình huống và
cách thức được mô tả trong chính sách quyền riêng tư của đơn vị
✓ Và, chỉ khi bên thứ ba cung cấp mức độ bảo vệ quyền riêng tư giống như đơn vị
▪ → Khi sử dụng điện toán đám mây vì việc lưu trữ thông tin cá nhân của khách hàng trên
đám mây có thể bị truy cập bởi nhân viên của nhà cung cấp đám mây -> thông tin phải
luôn được mã hóa.

quyền riêng tư
8. Security. Bảo mật.

✓ Sử dụng các kiểm soát phòng ngừa, phát hiện và sửa chữa an toàn
thông tin để hạn chế quyền truy cập thông tin cá nhân
✓ Huấn luyện, đào tạo nhân viên về hành vi vi phạm quyền riệng tư
và các thủ tục cần thiết để tránh vi phạm quyền riêng tư

quyền riêng tư
9. Quality. Chất lượng. Nên duy trì tính toàn vẹn của thông tin cá nhân của khách
hàng và áp dụng các quy trình để đảm bảo thông tin đó chính xác một cách hợp lý (vd,
cho phép khách hàng xem lại thông tin cá nhân được tổ chức lưu trữ)
10. Monitoring and enforcement. Giám sát và thực thi.

✓ Phải xác minh định kỳ việc tuân thủ các chính sách quyền riêng tư đã nêu.
✓ Nên thiết lập các thủ tục để trả lời các khiếu nại của khách hàng, bao gồm cả việc
sử dụng quy trình giải quyết tranh chấp của bên thứ ba.

❖TRỘM CẮP DANH TÍNH (IDENTITY THEFT)
Trộm cắp danh tính là việc sử dụng trái phép thông tin cá nhân của
ai đó vì lợi ích của thủ phạm:
✓ Tài chính: sử dụng danh tính ăn cắp để mở thẻ tín dụng, hoăc đi vay hoặc đánh
cắp tài khoản ngân của nạn nhân; Nghĩa vụ nộp và hoàn thuế của nạn nhân
✓ Sử dụng dịch vụ y tế:
Các tổ chức cần có trách nhiệm
✓ Nghĩa vụ về pháp lý liên quan bảo mật quyền riêng tư cá nhân
✓ Nghĩa vụ về về đạo đức và trách nhiệm liên quan bảo mật quyền riêng tư cá nhân

Bản thân cá nhân cần tự bảo vệ (focus 12-1)
1. Credit freeze. Yêu cầu đóng băng các báo cáo tín dụng tại các đại lý dịch vụ
khai báo tài chính, tín dụng khách hàng
2. Cắt nhỏ tất cả các tài liệu có chứa thông tin cá nhân trước khi loại bỏ hay vứt rác
3. Lưu trữ an toàn các tài liệu chứa thông tin cá nhân quan trọng và thông tin tài
chính (ví dụ: tờ khai thuế và báo cáo tài chính). Nên Mã hóa dữ liệu lưu trữ
4. Mã hóa thông tin (số an sinh xã hội, số hộ chiếu, v.v.) khi gửi e-mail.
5. Cảnh giác với các email, điện thoại, tin nhắn yêu cầu xác minh thông tin liên
quan thẻ tín dụng
6. Cẩn thận khi mang theo người thẻ an sinh xã hội (social security card)

Bản thân cá nhân cần tự bảo vệ (focus 12-1)
7. Từ chối các yêu cầu cung cấp số an sinh xã hội của cá nhân cho các doanh nghiệp yêu cầu nó, vì
hiếm khi cần thiết cho hầu hết các giao dịch.
8. Hạn chế các thông tin cá nhân in trước trên SEC; Chỉ in tên viết tắt và họ của bạn trên SEC, thay vì
tên đầy đủ của bạn. Điều này ngăn kẻ trộm biết cách bạn ký tên.
9. Không đặt SEC hoặc thông tin cá nhân vào thùng/hộp thư để bên ngoài.
10. Hủy, xóa (bằng phần mềm đặc biệt) các thông tin trên các thiết bị điện tử trước khi thanh lý, vứt bỏ
11. Thường xuyên theo dõi các báo cáo tín dụng của bạn.
12. Thông báo cảnh sát hoặc ngân hàng ngay khi bị đánh cắp ví, thẻ tín dụng. Hủy ngay các thẻ tín dụng
nếu bị đánh cắp hay thất lạc
13. Phô tô các giấy tờ cá nhân và cất giữ ở vị trí an toàn để có căn cứ báo và cấp lại

❖CÁC KỸ THUẬT KHÁC
• Mã hóa (encryption)
• Mạng riêng ảo (virtual private network -VPN)
• Hashing
• Chữ ký số (digital signature)

Phần 3- Kiểm soát tính toàn vẹn
Mục lục
3.1. Kiểm soát đầu vào (input controls)

3.2. Kiểm soát xử lý (processing controls)
3.3. Kiểm soát thông tin đầu ra (output controls)

Phần 3- Kiểm soát tính toàn vẹn
Mục đích:
Kiểm soát toàn vẹn
nhằm tạo ra thông tin
chính xác, đầy đủ, kịp
thời và hợp lệ (p.423).

3.1. Kiểm soát đầu vào
❖ Kiểm soát nguồn dữ liệu
Mục tiêu kiểm soát Thủ tục kiểm soát
▪ Nghiệp vụ được xét ▪ Thiết kế mẫu chứng từ phù hợp. Đánh số trước cho
duyệt các chứng từ
▪ Nghiệp vụ có thực ▪ Kiểm tra để đảm bảo dữ liệu đáp ứng mục tiêu
▪ Nghiệp vụ được thu kiểm soát
thập đầy đủ ▪ Tăng cường sử dụng DL trực tiếp từ nguồn DL
▪ Dữ liệu nghiệp vụ ▪ Sử dụng chứng từ luân chuyển
chính xác ▪ Sử dụng thiết bị thu thập DL tự động
▪ Đúng kỳ thời gian ▪ Đánh dấu chứng từ đã sử dụng

❖ Kiểm soát quá trình nhập liệu
Mục tiêu kiểm soát Thủ tục kiểm soát
• Kiểm tra kiểu dữ liệu (field check)
▪ Nhập chính xác DL đã
• Kiểm tra dấu (sign check)
thu thập • Kiểm tra giới hạn (limit check)
▪ Đầy đủ DL đã thu thập • Kiểm tra giới hạn theo dãy (range check)
▪ Đảm bảo tính toàn vẹn • Kiểm tra dung lượng vùng nhập liệu (size
của DL nhập check)
• Kiểm tra tính đầy đủ (completeness check/test)
▪ Kịp thời • Kiểm tra tính hợp lệ (validity check)
▪ Hiệu quả • Kiểm tra tính hợp lý (reasonableness test)
• Số kiểm tra (check digit) và xác nhận số kiểm
tra (check digit verification)

❖ Kiểm soát quá trình nhập liệu
VÍ DỤ BẢNG KÊ BÁN HÀNG
SỐ HĐ NGÀY HĐ NỘI DUNG MÃ KH TÊN KH MÃ HH TÊN HH SL ĐƠN TIỀN Thông tin bổ sung
GIÁ • Mặt hàng A tồn đầu
ngày 01/02: 80 số
21 02-02-18 1 A 100 1 100 lượng, trong ngày
01và 02 không nhập
21 02-02-18 1 B 100 5 450 hàng
22 01-02-18 2 B 150 5 700 • Mặt hàng D chưa hề
có trong danh mục
22 01-02-18 2 C 200 3 600
hàng cũng như
23 14-02-18 1 A 300 3 900 trong kho
18 28-01-17 2 C 200 3 600
25 30-02-18 6 D 100 10 1,000
Yêu cầu
• Nhận diện các sai sót ở bảng kê bán hàng
• Thiết lập các thủ tục kiểm soát ngăn ngừa các sai sót trên

Kiểm soát Nhập liệu trực tuyến (online) (bổ sung thêm)
• Chỉ dẫn (prompting). Hệ thống yêu cầu mỗi vùng nhập liệu cần có xác
nhận chấp nhận để đảm bảo tất cả các vùng dữ liệu cần thiết được nhập
vào hệ thống
• Kiểm tra vòng lặp kín (kiểm tra dựa vào thông tin liên quan) (closed–loop
verification). Kiểm tra tính chính xác của dữ liệu nhập vào bằng cách lấy lại
và hiển thị các thông tin liên quan khác.
• 1 nhật ký nghiệp vụ được tạo ra để làm căn cứ khôi phục/tái tạp lại tập tin
online đã bị hư

Kiểm soát Nhập liệu theo lô
• Kiểm tra theo trình tự Ngày Số HĐ Số tiền Mã Khách
(sequence check). Trình tự của hàng
lô có đúng như trình tự trên tập 3 3 1 1.000.000 B
tin chính mẩu 5 2 300.000 A
• Tạo 1 nhật ký các dữ liệu sai tin 6 3 2.000.000 C
sót, không được xử lý 14 6 3.300.000
• Tổng lô (batch total)
o Tổng tài chính (financial
total)
Tổng Hash Tổng tài chính
o Tổng Hash (hash total)
o Đếm mẫu tin (record count)
❖ Kiểm soát xử lý dữ liệu
Mục tiêu: đảm bảo các dữ liệu được cập nhật đúng
Thủ tục kiểm soát

o Kiểm tra sự phù hợp dữ liệu (data matching)
o Kiểm tra nhãn và thuộc tính tập tin dữ liệu (flie labels)
o Kiểm tra tổng số lô sau khi xử lý (batch totals)
o Kiểm tra chéo (cross-footing test) và kiểm tra số dư bằng 0 (zero-
balance test)
o Cơ chế chống ghi tập tin (write-protection mechanism)
o Kiểm soát cập nhật đồng thời (concurrent update control) trong
trường hợp có nhiều hơn 1 người dùng cùng truy cập đến dữ liệu

❖ Kiểm soát kết quả xử lý
Mục tiêu: Đảm bảo thông tin cung cấp hữu ích, tin cậy (liability)
Thủ tục kiểm soát

• Người dùng kiểm tra, đánh giá thông tin đầu ra
• Quy định các thủ tục và quy trình đối chiếu dữ liệu, thông tin
• Đối chiếu dữ liệu ngoài hệ thống
• Kiểm soát truyền tải dữ liệu

Phần 4- Kiểm soát tính khả dụng/ sẵn sàng
(Availability)
Mục lục
4.1. Giảm thiểu rủi ro thời gian ngưng trệ của hệ

thống (system downtime)
4.2. Phục hồi và tiếp tục hoạt động thông thường
(recovery & resumption of normal operations)

Phần 4- Kiểm soát tính khả dụng/ sẵn sàng
(Availability)
Mục đích:
• Đảm bảo hệ
thống và thông
tin sẵn sàng khi
sử dụng

4.1. Giảm thiểu rủi ro thời gian ngưng trệ của hệ
thống (system downtime)
Hoạt động kiểm soát
• Tăng khả năng chịu đựng sự ngưng trệ: Thiết lập các hệ thống/thành phần thiết bị
dự phòng trong trường hợp hệ thống ngưng trệ (redundant arrays of independent
drives (RAID)
• Các biện pháp an toàn tài sản từ các hiểm họa tự nhiên
• Kiểm soát hỏa hoạn
• Kiểm soát hệ thống thiết bị máy tính,
• Kiểm soát nguồn điện
• Dùng hệ thống UPS (uninterruptible power supply)
• Kiểm soát truy cập vật lý
• Huấn luyện đào tạo, cung cấp hồ sơ hướng dẫn xử lý khi hệ thống ngưng trệ
• Kiểm soát phần mềm độc hại: cài đặt sử dụng hệ thống

4.2.Phục hồi & tiếp tục hoạt động bình thường
Hoạt động kiểm soát
❖Thủ tục lưu dự phòng dữ liệu (backup)

❖Thiết lập kế hoạch:
• Kế hoạch phục hồi do thảm họa (disaster recovery plan –DRP)
• Kế hoạch hoạt động kinh doanh liên tục (business continuity
plan- BCP)

THỦ TỤC LƯU DỰ PHÒNG DỮ LIỆU
➢ Các thủ tục Lưu dự phòng (backup)

• Lưu dự phòng toàn bộ: Full backup (toàn bộ CSDL);
Lưu dự phòng là Cách lưu này tốn thời gian, nên thường định kỳ
một bản sao hàng tuần
(copy) của hoặc • Lưu dự phòng từng phần/hàng ngày (Daily partial
• cơ sở dữ liệu backup) Có 2 cách:
• tập tin ✓ Incremental Daily Backup- Sao lưu Chuỗi. Chỉ lưu những
• chương trình dữ liệu thay đổi trong từng ngày kể từ lần lưu cuối cùng
trước đó
✓ Differential Daily Backup- Lưu toàn bộ dữ liệu thay đổi lũy
kế tới ngày lưu dự phòng

Lưu dự phòng là
một bản sao
(copy) của hoặc
• cơ sở dữ liệu
• tập tin
• chương trình

➢ Các thủ tục Lưu dự phòng (tiếp)
• Nên có nhiều bản sao lưu dự phòng:
Lưu dự phòng là
✓ 1 để ở ngay tại vị trí hoạt động
một bản sao
✓ 1 để bên ngoài vị trí hoạt động
(copy) của hoặc
• Cơ sở dữ • Sao lưu dự phòng cần được kiểm soát an toàn:
liệu ✓ Mã hóa các thông tin quan trọng, nhạy cảm trong quá trình lưu và
• Tập tin chuyển giao (vât lý hoặc điện tử)
• Chương trình ✓ Kiểm soát truy cập tập tin lưu dự phòng
✓ Thường xuyên kiểm tra bản sao lưu (VD định kỳ khôi phục lại bản
sao lưu để đảm bảo qui trình sao lưu chính xác và sẵn sàng đọc
được )
✓ Lưu dự phòng thường được lưu trữ trong thời hạn ngắn
➢ Các thủ tục Lưu dự phòng (tiếp)

Lưu dự phòng là • Tập tin lưu dài hạn (Archive file). Là một bản sao của
một bản sao một cơ sở dữ liệu, tập tin chính hoặc phần mềm. Nó
(copy) của hoặc được lưu giữ vô thời hạn như một hồ sơ lịch sử, và
• Cơ sở dữ thường dùng để đáp ứng pháp lý và các yêu cầu quy
liệu định.
• Tập tin
• Chương trình • Có thể sử dụng cả đĩa từ và băng từ để lưu trữ dự
phòng và lưu dài hạn

LẬP KẾ HOẠCH PHỤC HỒI SAU THẢM HỌA VÀ HOẠT ĐỘNG

KINH DOANH LIÊN TỤC
❖Lập kế hoạch phục hồi sau thảm họa và hoạt động kinh doanh liên tục tạo ra
các bản kế hoạch:
• Kế hoạch phục hồi sau thảm họa (disaster recovery plan –DRP)
• Kế hoạch hoạt động kinh doanh liên tục (business continuity plan- BCP)
❖Để thiết lập DRP & BCP, cần trả lời 2 câu hỏi
• Bao nhiêu dữ liệu có thể tái tạo lại từ chứng từ gốc (nếu có) hoặc bao nhiêu
dữ liệu bị mất/hư hỏng (nếu không có chứng từ gốc)
• Doanh nghiệp có thể tồn tại được bao lâu nếu không có hệ thống thông tin
hiện hành

LẬP KẾ HOẠCH PHỤC HỒI SAU THẢM HỌA VÀ HOẠT ĐỘNG
KINH DOANH LIÊN TỤC
*RPO (MỐC PHỤC HỒI DỮ LIỆU) VÀ RTO (MỐC THỜI GIAN PHỤC HỒI)
• Tùy tính chất của tổ chức để xác định RPO và RTO bao
nhiêu là phù hợp (RTO có thể đo lường theo giờ hay ngày)
• RPO tỷ lệ nghịch với tần suất sao lưu dự phòng (backup)
• RTO càng dài; RPO càng lớn thì mức độ đầu tư cho DRP và
BCP càng ít hơn -> chi phí sẽ thấp hơn so RTO & RPO thấp

LẬP KẾ HOẠCH PHỤC HỒI SAU THẢM HỌA
• Kế hoạch phục hồi sau thảm họa (DRP): liệt kê các thủ tục để khôi
phục các chức năng hoạt động của DN trong trường hợp trung tâm
dữ liệu bị phá hủy bởi tự nhiên hoặc khủng bố
• Lập hồ sơ DRP
• Kiểm tra/test DRP định kỳ (thường hàng năm)

LẬP KẾ HOẠCH PHỤC HỒI SAU THẢM HỌA (tiếp tục)
• Có 3 lựa chọn cho thay thế/dự phòng cơ sở

hạ tầng CNTT (gồm phần mềm, mạng truyền
Lựa chọn cách nào
thông, Router, dữ liệu v.v… tùy thuộc
o Cold site (địa điểm chờ) • Khả năng chi phí
o Hot site (địa điểm ngay lập tức) • Phản ánh quyết
định về mức RPO
o Real-time mirroring. Duy trì hai trung tâm dữ liệu & RTO
riêng biệt với bản sao hoàn chỉnh của 1 cơ sở dữ
liệu và cập nhật cả hai bản sao CSDL theo thời
gian thực khi mỗi giao dịch xảy ra.

LẬP KẾ HOẠCH HOẠT ĐỘNG KINH DOANH LIÊN TỤC
• Kế hoạch hoạt động kinh doanh liên tục BCP xác định cách thức hoạt
động lại của hệ thống IT và qui trình kinh doanh
o Xác định vị trí dự phòng
o Thuê chỗ thay thế tạm thời
o V.v…
• Lập hồ sơ BCP
• Xem xét lại và kiểm tra định kỳ BCP (thường là hàng năm)

ẢO HÓA (VIRTUALIZATION) VÀ ĐIỆN TOÁN ĐÁM MÂY (CLOUD COMPUTING)
• Ảo hóa và điện toán đám mây giúp gia tăng tính hữu hiệu và hiệu quả
của các hoạt động khôi phục thảm họa và tiếp tục lại hoạt động kinh
doanh.

Tổng kết
Tổng quan AIS Nguyễn Bích Liên 93

15th Ch5 Is Control Đã Nén

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

15th Ch5 Is Control Đã Nén

Uploaded by

Copyright:

Available Formats

Romney, M.B et.all (2021).

Kiểm soát hệ thống thông tin kế toán

Nguyễn Bích Liên

Tổng quan AIS Nguyễn Bích Liên 1

1. Kiểm soát an toàn thông tin

AIS Controls Nguyễn Bích Liên 3

AIS Controls Nguyễn Bích Liên 4

AIS Controls Nguyễn Bích Liên 5

AIS Ontrols Nguyễn Bích Liên 6

AIS Controls Nguyễn Bích Liên 7

STT Thuật ngữ Trang Diễn giải

AIS Controls Nguyễn Bích Liên 8

AIS Controls Nguyễn Bích Liên 9

❖Thảm họa thiên tai và chính trị

AIS Controls Nguyễn Bích Liên 10

AIS Controls Nguyễn Bích Liên 11

AIS Controls Nguyễn Bích Liên 12

AICPA (the American

Hướng dẫn kiểm toán viên:

AIS Controls Nguyễn Bích Liên 13

Hệ thống thông tin đáng tin cậy

Bảo vệ Tính toàn

An toàn thông tin Security

AIS Controls Nguyễn Bích Liên 14

AIS Controls Nguyễn Bích Liên 15

AIS Controls Nguyễn Bích Liên 16

➢ Chu kỳ An toàn thông 1.Đánh giá

AIS Controls Nguyễn Bích Liên 17

AIS Controls Nguyễn Bích Liên 18

AIS Controls Nguyễn Bích Liên 19

AIS Controls Nguyễn Bích Liên 20

o Huấn luyện liên tục nhận thức ANTT Chương trình

AIS Controls Nguyễn Bích Liên 21

Gồm kết hợp:

AIS Controls Nguyễn Bích Liên 23

AIS Controls Nguyễn Bích Liên 24

Nhiều cửa soát xét khi vào building, có nhân

Phòng chứa thiết bị máy

Các tủ chứa hệ thống dây

Giữ an toàn cho

AIS Controls Nguyễn Bích Liên 25

AIS Controls Nguyễn Bích Liên 26

System access permission:

AIS Controls Nguyễn Bích Liên 27

➢ Kiểm soát xác thực (authentication controls)

AIS Controls Nguyễn Bích Liên 28

➢ Kiểm soát xác thực (authentication controls)

✓ Xác thực đa phương thức (multimodal authentication)-Việc sử

AIS Controls Nguyễn Bích Liên 29

➢ Kiểm soát phân quyền (authorization controls)

❑ Cách thực hiện:

AIS Controls Nguyễn Bích Liên 30

Câu hỏi: vai trò của

AIS Controls Nguyễn Bích Liên 31

• Phân chia trách nhiệm kế toán ?

AIS Controls Nguyễn Bích Liên 32

AIS Controls Nguyễn Bích Liên 33

• Ủy quyền cho phép nghiệp vụ hoặc hoạt động thực hiện:

AIS Controls Nguyễn Bích Liên 34

❖Nhập liệu nghiệp vụ kinh tế phát sinh

AIS Controls Nguyễn Bích Liên 35

Chức năng • Cài đặt phần mềm

AIS Controls Nguyễn Bích Liên 36